JP6952679B2 - マルウェア検出 - Google Patents

マルウェア検出 Download PDF

Info

Publication number
JP6952679B2
JP6952679B2 JP2018501314A JP2018501314A JP6952679B2 JP 6952679 B2 JP6952679 B2 JP 6952679B2 JP 2018501314 A JP2018501314 A JP 2018501314A JP 2018501314 A JP2018501314 A JP 2018501314A JP 6952679 B2 JP6952679 B2 JP 6952679B2
Authority
JP
Japan
Prior art keywords
instructions
file
training
neural network
classification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018501314A
Other languages
English (en)
Other versions
JP2018524735A (ja
Inventor
アンドリュー・デイビス
マシュー・ウルフ
デレク・エイ・ソーダー
グレン・チザム
ライアン・パーメー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cylance Inc
Original Assignee
Cylance Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cylance Inc filed Critical Cylance Inc
Publication of JP2018524735A publication Critical patent/JP2018524735A/ja
Priority to JP2021157818A priority Critical patent/JP7246448B2/ja
Application granted granted Critical
Publication of JP6952679B2 publication Critical patent/JP6952679B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Biophysics (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本明細書に記載される主題は、一般に、機械学習に関し、より詳細には、マルウェアの検出におけるニューラルネットワークの使用に関する。
本出願は、内容が参照によりその全体が本明細書に組み込まれる、2015年7月15日に出願された“マルウェア解析のための畳み込みニューラルネットワーク“と題する米国仮特許出願第62/193,025号に関して優先権を主張する。
コンピュータプログラムは、典型的には、実行可能プログラムを生成するようにコンパイルされる。コンパイルプロセスは、コンピュータプログラムをソースコードからオブジェクトコードに変換する。ソースコードは人間が読める高水準のプログラミング言語(例えば、C、Java(登録商標))で書かれているが、オブジェクトコードはバイナリ形式であり、すぐには理解できない。オブジェクトコードは、逆アセンブルとして知られているプロセスで人間が読める形式に変換することができるが、人間のオペレータは、逆アセンブルされたオブジェクトコードを検査することによって、悪意のあるコンピュータプログラムを効率的かつ信頼できる方法で検出できない。
コンピュータプログラム製品を含むシステム、方法、および製品は、トレーニングおよびマルウェアを検出するために畳み込みニューラルネットワークを使用するために提供される。いくつかの例示的な実施形態では、少なくとも1つのプロセッサと、少なくとも1つのメモリによって実行されたときに動作を提供するプログラムコードを含む少なくとも1つのメモリとを含むシステムが提供される。オペレーションは、複数の命令を含む逆アセンブルされたバイナリファイルを受信するステップと、複数の命令のうちの1つまたは複数の命令シーケンスの存在を検出し、1つまたは複数のシーケンスの存在に少なくとも部分的に基づいて逆アセンブルされたバイナリファイルの分類を決定するように構成された畳み込みニューラルネットワークを用いて、逆アセンブルされたバイナリファイルを処理するステップと、逆アセンブルされたバイナリファイルの分類を出力として提供するステップとを含む。
いくつかの変形例では、以下の特徴を含む本明細書に開示された1つまたは複数の特徴は任意に実現可能な組み合わせに任意に含めることができる。複数の命令は、可変長であってもよい。システムはさらに、複数の命令の各々を同じ長さに切り詰めるか、またはパディングによって、複数の命令の固定長表現を生成するように構成することができる。複数の命令の固定長表現は、各命令に関連付けられたニーモニックを含むことができる。いくつかの変形例では、システムは、複数の命令の固定長表現を符号化するようにさらに構成することができ、符号化は、ワンホット符号化またはバイナリ符号化に基づく。
いくつかの変形例では、畳み込みニューラルネットワークは、第1の複数のカーネル逆アセンブルしたバイナリファイルに適用するように構成することができ、第1の複数のカーネルの各々は、2つ以上の命令の異なるシーケンスを検出するように構成される。畳み込みニューラルネットワークは、逆アセンブルされたバイナリファイルに第2の複数のカーネルを適用するようにさらに構成することができ、第2の複数のカーネルの各々は、2つ以上の命令シーケンスの異なるシーケンスを検出するように構成される。第1の複数のカーネルを適用することは、第1の重み行列を、逆アセンブルされたバイナリファイルの行列表現に適用することを含むことができ、逆アセンブルされたバイナリファイルの行列表現は、逆アセンブルされたバイナリファイルに含まれる複数の命令の符号化された固定長表現を含む。
いくつかの変形例では、システムは、少なくとも、複数のトレーニングファイルを受信することによって、畳み込みニューラルネットワークをトレーニングするように構成することができ、複数のトレーニングファイルは、複数の逆アセンブルされたバイナリファイルを含み、畳み込みニューラルネットワークを用いて少なくとも第1のトレーニングファイルを処理することによって第1のトレーニングファイルの分類を決定し、第1のトレーニングファイルの分類に関連するエラーを逆伝搬し、第1のトレーニングファイルの分類に関連するエラーを最小限に抑えるために、少なくとも第1の重み行列を調整する。畳み込みニューラルネットワークのトレーニングは、畳み込みニューラルネットワークで少なくとも第2のトレーニングファイルを処理することによって第2のトレーニングファイルの分類を決定するステップと、第2のトレーニングファイルの分類に関連するエラーを逆伝搬するステップと、少なくとも第1の重み行列を再調整して、第2のトレーニングファイルの分類に関連するエラーを最小限にするステップとを含む。
現在の主題の実施形態は、本明細書で提供される記述と一致する方法、および1つまたは複数のマシン(例えば、コンピュータなど)を実行するように動作可能な具体的に表現された機械可読媒体を含む事項を含むことができるが、記載された特徴のうちの1つまたは複数を実施する動作をもたらす。同様に、1つまたは複数のプロセッサおよび1つまたは複数のプロセッサに結合された1つまたは複数のメモリを含むことができるコンピュータシステムも記載される。 非一時的なコンピュータ可読記憶媒体または機械可読記憶媒体を含むことができるメモリは、1つまたは複数のプロセッサに、本明細書に記載された1つまたは複数の動作を実行させる1つまたは複数のプログラムを含み、符号化し、格納することができる。現在の主題の1つまたは複数の実施形態と一致するコンピュータ実装の方法は、単一のコンピューティングシステムまたは複数のコンピューティングシステムに存在する1つまたは複数のデータプロセッサによって実施することができる。そのような複数のコンピューティングシステムは、ネットワーク(例えば、インターネット、無線ワイドエリアネットワーク、ローカルネットワーク、広域ネットワーク、有線ネットワークなど)、複数のコンピューティングシステムのうちの1つまたは複数の間の直接接続を介した接続を含むがこれに限定されない1つまたは複数の接続を介して接続され、データおよび/またはコマンドまたは他の命令などを交換することができる。
本明細書に記載される主題の1つまたは複数の変形の詳細は、添付の図面および以下の説明に記載される。本明細書に記載される主題の他の特徴および利点は、説明および図面、ならびに請求項から明らかになるであろう。現在開示されている主題の特定の特徴は、説明のために記載されているが、そのような特徴は限定することを意図するものではないことは容易に理解されるべきである。この開示に続く請求項は、保護される主題の範囲を定義することを意図している。
添付の図面は、本明細書に組み込まれ、本明細書の一部を構成し、本明細書に開示される主題の特定の態様を示し、記載と共に、開示された実施形態に関連する原理の一部を説明するのを助ける。次に図面を説明する。
現在の主題の実施形態と一致する機械学習モデルに含めることができるソフトウェア要素の例を示すブロック図である。 現在の主題の実施形態と一致する畳み込みニューラルネットワークを示す。 現在の主題の実施形態と一致する畳み込みニューラルネットワークを示す。 逆アセンブルされたバイナリファイルに含めることができる命令セットの例を示す。 各命令の符号化された固定長表現を生成する命令セット内の命令にワンホット符号化が適用されるときに使用されるマッピングの例を示す。 命令セット内の命令の符号化固定長表現の例を示す図である。 1つまたは複数の畳み込みカーネルを命令セット内の命令に適用することができる順序の例を示す。 現在の主題の実施形態と一致する、逆アセンブルされたバイナリファイル内の命令のシーケンスを表す入力行列の例を示す図である。 現在の主題の実施形態と一致する畳み込み層で適用される1つまたは複数のカーネルを表す重み行列の例を示す図である。 現在の主題の実施形態と一致する、逆アセンブルされたバイナリファイル内の命令のシーケンスに1つまたは複数のカーネルを適用することによって生成された特徴マップを表す行列の例を示す図である。 現在の主題の実施形態と一致するニューラルネットワークシステムを示すブロック図である。 現在の主題の実施形態と一致するマルウェアを検出するために従来のニューラルネットワークをトレーニングするプロセスを示すフローチャートを示す。 トレーニングされた畳み込みニューラルネットワークを利用して、現在の主題の実施形態と一致するマルウェアを検出するプロセスを示すフローチャートを示す。
上記のように、悪意のある実行可能ファイルは、バイナリファイルの検査と解析に関連する困難のために検出を回避する傾向がある。したがって、現在の主題のいくつかの実施形態では、バイナリファイルを逆アセンブルし、それによって、1つまたは複数の識別機能(例えば、命令ニーモニック)を有する識別可能な命令シーケンスを形成することができる。畳み込みニューラルネットワーク(CNN)は、逆アセンブルされたバイナリファイルを解析するために利用され、逆アセンブルされたバイナリファイル内の命令の特定のシーケンスを検出するように適合された複数のカーネルを適用することを含む。 畳み込みニューラルネットワークは、逆アセンブルされたバイナリファイルの分類を(例えば、悪意のあるまたは良性のものとして)提供することによって悪意のある実行可能ファイルを検出することができる。
逆アセンブルされたバイナリファイルの命令は、可変長にすることができる。例えば、x86アーキテクチャで使用される命令は、一般に長さが8バイト未満であるが、15バイトもの長さにすることができる。現在の主題のいくつかの実施形態では、可変長命令について固定長表現を生成することができる。例えば、可変長命令をある固定長(例えば、2バイト、8バイト、15バイト)にパディングまたは切り詰めることによって、固定長表現を生成することができる。さらに、命令の固定長表現は、畳み込みニューラルネットワークによるより効率的な処理のためにさらに符号化することができる。例えば、固定長表現は、スパース(例えば、ワンホット符号化)または密(例えば、バイナリ符号化)符号化方式を用いて符号化することができる。
現在の主題のいくつかの実施形態では、畳み込みニューラルネットワークは、1つまたは複数の監視学習および/または最適化技術を適用することによってマルウェアを検出するようにトレーニングすることができる。例えば、畳み込みニューラルネットワークをトレーニングすることは、畳み込みニューラルネットワークを利用して複数のトレーニングファイルを処理することを含むことができる。トレーニングファイルは、既知の分類(例えば、悪意のあるまたは良性のもの)のバイナリファイルを逆アセンブルすることができる。畳み込みニューラルネットワークを利用して、トレーニングファイルを処理し、対応するトレーニング出力を生成することができる。畳み込みニューラルネットワークをトレーニングすることは、(例えば、既知の分類と比較して)トレーニング出力に関連するエラーを最小限にするために、1つまたは複数の監視学習および/または最適化技術を適用することを含むことができる。トレーニングされた畳み込みニューラルネットワークは、未知の逆アセンブルされたバイナリファイル(例えば、悪意のある、または良性のもの)の分類を決定することによって悪意のある実行可能ファイルを検出するために提供することができる。
図1は、識別アプリケーションで使用するために機械学習モデル100に含めることができるソフトウェア要素の例を示すブロック図を示す。特徴収集モジュール110(時には特徴収集器と呼ばれる)、識別モジュール120、および実施モジュール130は、1つまたは複数のサンプルから学習し、所与のファイルが脅威である可能性に関する予測出力を提供するために相互作用することができる。本明細書で使用する“モジュール”という用語は、1つまたは複数のコンピューティングシステムの一部である1つまたは複数のプログラマブルプロセッサを介して実施できるソフトウェア機能を指す。特徴収集モジュール110は、ファイルおよび/またはそのファイルが読み込まれ、ダウンロードされ、実行され、書き込まれるなどの環境を特徴付ける特徴を収集または他の方法でアクセスする。特徴とは、サンプルから測定できる顕著なデータポイントを指す。本明細書中で使用される場合、サンプルは、類似のサンプルに対する分類または類似解析動作が実行され得る任意のデータを指す。マルチクラス分類器は、3つ以上のクラスの分類をサポートできる分類器を指す。マルチモデル分類器とは、複雑なサンプル内の特定の複雑さを扱うためにサブモデルを使用する分類器を指す。
モデルは、特定のクラスに分類されるサンプルの可能性を定義する単一またはマルチモデルの確率行列とすることができる。現在の主題と一致して、機械学習モデルは、クラウドベースのインスタンスおよびローカルに実行中のインスタンス(例えば、組織の1つまたは複数のエンドポイントコンピュータ)の両方として実施することができる。
特徴収集モジュール110によって収集および/またはアクセスされた特徴は、識別モジュール120に渡され、識別モジュール120は、ファイルの実行を許可するか否か(またはファイルをダウンロードし、開くなど)を決定することができる。ファイルが実行されてはならないと判断された場合、またはファイルに対する他の何らかのアクションが防止されるべき場合、実施モジュール130は、ファイルの実行、オープン、実行の継続、書き込み、ダウンロードなどを防止するアクションをとることができる。現在の主題のいくつかの実施形態では、実施モジュール130は、潜在的な脅威として評価されるファイル等の隔離を要求することができる。
機械学習脅威識別モデルまたは機械学習脅威識別モデルのアンサンブルは、アプリケーション制御の前に考案され、トレーニングされることができる。さまざまな機械学習アルゴリズムの予測的性質のため、トレーニングされたモデルは、安全で安全でないプログラムとの“あいまいな”マッチングを可能にする。本明細書では、“安全な”および“危険な”という用語は、一般に、脅威となり得る1つまたは複数のファイルによって提示される危険の推定値に基づく機械生成の相対分類を指す。本明細書に記載されている機械学習脅威識別モデルは、所与のファイルに対する脅威スコアを出力することができ、脅威スコアを使用してファイルを安全または安全でないものとして分類することができる。2つ以上の区分を有する他の分類プロトコルもまた、現在の主題の範囲内にある。非限定的な例では、1つまたは複数の機械学習脅威識別モデルからの脅威スコア出力を使用して、潜在的な脅威を3つのカテゴリ(例えば、安全、疑わしい、危険なまたは同様のラベル)、4つのカテゴリ(例えば、疑わしいが危険な可能性がある、安全でない、または同様のラベル)、または4つ以上のカテゴリに分類することができる。
このようなモデルのアンサンブルで機械学習脅威識別モデルを慎重に選択してトレーニングすることにより、脅威識別システムは、“安全”に似ているか、またはその欠如したプログラム動作の小規模および大規模な変化に対応して、時間の経過とともに弾力的に行動することができる。機械学習脅威識別モデルは、ニューラルネットワーク、サポートベクトルマシン、ロジスティック回帰モデル、ベイジアンアルゴリズム、およびディシジョンツリーを含む例示的な例として、1つまたは複数のアルゴリズムが組み込まれていることを特徴とすることができる。機械学習脅威識別モデルは、監視学習を使用してトレーニングすることができ、トレーニングセット内で発生しないサンプルを正しく分類するために、所望の出力値でラベル付けされたトレーニングセットの入力サンプルをモデルに適合させるか、アルゴリズムでは、ラベルのないデータの隠れた構造を識別する。
上述したように、本明細書に記載されるような機械学習脅威識別モデルは、いくつかの例では、所与のファイルの解析に基づく出力としてリスクまたは脅威スコアを提供することができる。このスコア、および/またはそのようなスコアに基づく分類を使用して、ファイルを制限なしで進めるか、代わりに潜在的な脅威とするかを判断できる。例えば、再び図1の図100を参照すると、特徴収集モジュール110は、進行中の基準で受動的な特徴(操作上および動的)を識別モジュール120に送ることができる。識別モジュール120は、ファイル(例えば、プログラム)の実行のような特定の決定点で、特徴収集モジュール110から特定時点の特徴を要求することができる。これらの特定時点の特徴には、ファイルに対するコンピュータの外部の状態や外部ソースからの関連特徴に関する観測情報を含めることができます。識別モジュール120は、ファイルが実行されるべきかどうか、または他のアクション(例えば、ファイルのオープンまたはダウンロード、データの送信または受信など)が開始または進行することが許可されるかどうかを決定することができる。ファイルに関する識別モジュールの決定に基づいて実行/オープン/ダウンロードが許可される場合、プログラムが実行されるか、ファイルがオープンまたはダウンロードされるか、またはファイルに関連する他のアクションが起こり得る。アクションが許可されない場合、実施モジュール130は、それが発生するのを防ぐことができる。
機械学習アプローチは、疑わしいファイルまたはプログラムが1つまたは複数のサーバまたは他のコンピュータ上に実装されたモデルによって解析される、ネットワーク(例えば、クラウドベース)サービスを介してローカルに(例えば、1つまたは複数のコンピュータエンドポイントにおいて)両方適用することができる。いくつかの実施形態では、モデルのローカルバージョン(例えば、エンドポイントマシン上で実行する)とモデルのクラウドベースバージョンの両方が識別タスクを処理することができる。ローカルモデルは、ネットワーク接続の存在に依存せず、モデルのクラウドベースバージョンを実行しているサーバに対する疑わしい脅威に関する情報の送信を必要としないエンドポイント検出を提供できる。クラウドベースのバージョンは、機械学習の改善や脅威の識別性を向上させる可能性のあるその他の特徴によって、より簡単に更新できる。さらに、クラウドベースのモデルは、複数のエンドポイントから受信した入力から学習することができるため、新しいタイプの脅威に適応することができる。このように、所与の疑わしい脅威は、クラウドベースの機械学習モデルとローカルの機械学習モデルの両方で解析することがでる。クラウドベースのモデルとローカルに実行されるモデルが一致しない場合には、一般にクラウドベースのモデルはより多くの更新情報とより多くのトレーニングインプットにアクセスできるため、典型的なアプローチは、ファイルのスコアリング、クラウドベースのモデルによって生成されたプログラム、アクティビティなどが、ファイル、プログラム、アクティビティなどに与えられた最終スコア(本明細書では“サンプル”と総称される)を支配する。
畳み込みニューラルネットワークのようなアプローチは、少なくとも人間が設計した特徴と同じくらい効果的な特徴を抽出することを学ぶことができる分類器をもたらすことができる。このようなモデルは、現在画像および音声データに適用されているが、最近の結果は、これらのアプローチが、テキストデータなどの他のデータタイプで以前は評価されていなかった有効性を提供する可能性があることを示している。このようなアプローチをマルウェア分類の目的で実行可能ファイルのバイトに適用すると、いくらか改善される可能性があるが、そのようなモデルの有効性を制限する要因は、より長いサンプルを処理できることである。画像データは小さくて固定サイズ(例えば、256×256ピクセルおよび3色チャネル)である傾向があるが、実行可能ファイルは、数キロバイトから数百メガバイトの潜在的なファイルサイズの広い範囲に存在する。
畳み込みニューラルネットワークを組み込んだ機械学習モデル識別アプローチの単純な構成では、畳み込みニューラルネットワークは、一般に、入力サンプルのすべての領域に均一な量の計算を適用する。しかし、実行可能ファイルでは、ファイルが悪意のあるかどうかを判別するのに役立たない大量のコードのセクションが存在する可能性がある。例えば、典型的なアプローチは、1つまたは複数のn−グラム(例えば、バイトシーケンス)の定義を含むことができるいくつかの初期の特徴エンジニアリングを含むことができる。この初期の特徴エンジニアリングに基づいて、機械学習アルゴリズムを支援するために1つまたは複数の分類器を開発することができる。
図2A〜図2Bは、現在の主題の実施形態と一致する畳み込みニューラルネットワーク200を示す。図2を参照する。図2A〜図2Bを参照すると、畳み込みニューラルネットワーク200は、第1の畳み込み層212、第2の畳み込み層214、プール層220、完全に接続された層230、および出力層240を含むことができる。畳み込みニューラルネットワーク200は、例えば、逆アセンブルされたバイナリファイル250を含む1つまたは複数の逆アセンブルされたバイナリファイルの分類(例えば、悪意のあるまたは良性のもの)を決定することによって、マルウェアを検出するために利用され得る。
畳み込みニューラルネットワーク200は、逆アセンブルされたバイナリファイル250を処理するように構成することができ、逆アセンブルされたバイナリファイル250は、長さが可変である一連の命令を含むことができる。したがって、命令の固定長表現を生成するために、1つまたは複数の技術を適用することができる。さらに、命令の固定長表現を符号化して、符号化固定長表現の対応するシーケンスを生成することができる。したがって、畳み込みニューラルネットワーク200は、逆アセンブルされたバイナリファイル250からの命令のエンコードされた固定長表現のシーケンスを入力202で受信するように構成することができる。
現在の主題のいくつかの実施形態では、逆アセンブルされたバイナリファイル250からの可変長命令をパディングして、命令の固定長表現を生成することができる。例えば、各命令は、最大長(例えば、x86アーキテクチャでは15バイト)にパディングされ、それにより情報の損失を回避することができる。あるいは、可変長命令を切り捨てて、命令の固定長表現を生成することができる。例えば、各命令は、最も一般的な長さの命令(例えば、8バイト)に切り詰めることができる。
現在の主題のいくつかの実施形態によれば、各可変長命令は、命令の最初の2バイトまで切り捨てられることができる。命令を命令の最初の2バイトに切り詰めることは、例えば命令ニーモニックおよびオペランドのタイプを含むマルウェア検出に関連する情報を保持することができる。命令の残りの部分は、例えば、命令のオペランドを含むマルウェア検出に関連しない情報を含むことができる。したがって、命令の最初の2バイトに切り捨てても、マルウェアを検出する際の畳み込みニューラルネットワーク200の有効性および信頼性を損なうことはない。
命令の固定長表現を符号化して、符号化固定長表現のシーケンスを生成することができる。現在の主題のいくつかの実施形態では、固定長表現は、高密度符号化方式を使用して符号化することができる。例えば、各固定長表現は、バイナリ符号化を使用して符号化することができる。このように、命令の固定長表現における情報のすべてのバイトを表すために8ビットが必要とされることがある。あるいは、固定長表現は、スパース符号化方式を使用して符号化することができる。例えば、各固定長表現は、ワンホット符号化を使用して符号化することができる。ワンホット符号化を使用して命令の固定長表現を符号化するには、命令の固定長表現における情報の各バイトに256ビットが必要である。しかし、スパース符号化方式は、畳み込みニューラルネットワーク200がトレーニングを受けているときの最適化を容易にすることができる。
例えば、図3Aは、逆アセンブルされたバイナリファイル250に含めることができる命令セット300の一例を示す。命令セット300内の命令は、各命令の固定長表現を生成するために切り捨てることができる。例えば、各命令(例えば、mov,cmp,jne,dec,およびjmp)に関連するニーモニックを保存するために、命令を切り捨てることができる。さらに、固定長表現は、高密度またはスパース符号化方式を使用して符号化することができる。図3Bは、各命令の符号化された固定長表現を生成するために命令セット300内の命令にワンホット符号化が適用されるときに使用されるマッピングの例を示す。一方、図3Cは、命令セット300内の命令の符号化固定長表現の例を示す。図3Cに示す符号化された固定長表現は、畳み込みニューラルネットワーク200の入力102に提供されてもよい。
現在の主題のいくつかの実施形態では、第1の畳み込みレイヤ212は、複数のカーネルK1,1,K1,2,...,K1,xを符号化された固定長表現に適用することによって、符号化固定長表現を処理するように構成することができる。第1畳み込みレイヤ212に適用される各カーネルは、命令の特定のシーケンスを検出するように構成することができる。現在の主題のいくつかの実施形態によれば、第1の畳み込みレイヤ212に適用される各カーネルは、w個の命令を有するシーケンスを検出するように適合させることができる。すなわち、カーネルK1,1,K1,2,...,K1,xは、w個の命令が特定の順序で現れるインスタンスを検出するように構成することができる。例えば、カーネルK1,1は、命令シーケンス[cmp,jne,dec]を検出するように適応させることができ、カーネルK1,2は、命令シーケンス[dec,mov,jmp]を検出するように適応させることができる。各カーネルのサイズ(例えば、w個の命令数)は、第1の畳み込み層212のウィンドウサイズに対応することができる。
現在の主題のいくつかの実施形態では、各カーネルK1,1,K1,2,...,K1,xは、逆アセンブルされたバイナリファイル250内の連続した命令グループに適用することができる。例えば、カーネルK1,1を第1の命令グループに適用した後、カーネルKlをあるストライドサイズに従ってスライドさせ、第2の隣接する命令グループに適用することができる。したがって、第1の畳み込みレイヤ212のウィンドウサイズが3であり、第1の畳み込みレイヤ212のストライドサイズが1である場合、カーネルK1,1,K1,2,...,K1,xは、命令セット300からの命令に、図3Dに示す順序で適用することができる。
現在の主題のいくつかの実施形態によれば、カーネルK1,1,K1,2,...,K1,xを逆アセンブルしたバイナリファイル250内の命令は、対応する特徴マップ260を生成することができる。逆アセンブルされたバイナリファイル250からの命令をカーネルK1,1,K1,2,...,K1,xを適用することによって生成された特徴マップ260は、次に示される。
XW
ここで、W∈RNoutxNは、第1の畳み込み層212に適用された畳み込みカーネル(例えば、カーネルK1,1,K1,2,...,K1,x)を表す重み行列であり、Xは、第1の畳み込み層212のウィンドウサイズとストライドサイズによって特定される処理順序で配列された命令を表す入力行列である。
図3Eは、逆アセンブルされたバイナリファイル250内の命令のシーケンスを表す入力行列Xの例を示す。第1の畳み込み層212に適用されるカーネルK1,1,K1,2,...,K1,xを表す重み行列Wの一例を図3Fに示す。図3Gは、カーネルK1,1,K1,2,...,K1,xを逆アセンブルされたバイナリファイル250からの命令に適用することによって生成される特徴マップ260を表す行列XWの例を示す。
図2A〜図2Bを再度参照すると、第2の畳み込みレイヤ214は、複数の追加のカーネルK2,1,K2,2,...,K2,yを適用することによって、逆アセンブルされたバイナリファイル250をさらに処理するように構成することができる。現在の主題のいくつかの実施形態によれば、各連続畳み込みレイヤ(例えば、第1の畳み込みレイヤ212、第2の畳み込みレイヤ214)は、逆アセンブルされたバイナリファイル250からの命令シーケンスのますます抽象的な表現を生成するように適合させることができる。したがって、第2の畳み込みレイヤ214で適用されたカーネルK2,1,K2,2,...,K2,yは、第1の畳み込みレイヤ212で検出された2つ以上の命令シーケンスの特定のシーケンスを検出するように適合させることができる。すなわち、カーネルK2,1,K2,2,...,K2,yは、命令の特定のシーケンスが特定の順序で現れるインスタンスを検出するように適合させることができる。 例えば、カーネルK2,1は、命令シーケンス[cmp,jne,dec]の直後に命令シーケンス[dec,mov,jmp]が続くときを検出するように適応させることができる。K2,1,K2,2,...,K2,yを特徴マップ260に適用すると、次に示される出力を生成することができる。
[W;W]X
ここで、W∈RNoutxNは、第2の畳み込みレイヤ214に適用される畳み込みカーネル(例えば、K2,1,K2,2,...,K2,y)を表す重み行列である。
畳み込みニューラルネットワーク200は、第1の畳み込みレイヤ212および第2の畳み込みレイヤ214を含むように示されているが、畳み込みニューラルネットワーク200は、本開示の範囲から逸脱することなく異なる数の畳み込みレイヤを含むことができることを理解されたい。例えば、畳み込みニューラルネットワーク200は、本開示の範囲から逸脱することなく、より少ないまたはより多くの畳み込み層を含むことができる。
現在の主題のいくつかの実施形態では、プール層220は、前の畳み込み層からの出力を圧縮(例えば、サブサンプリングまたはダウンサンプリング)することによって、先行畳み込み層からの出力をさらに処理するように構成することができる。プール層220は、例えば、最大プール機能を含む1つまたは複数のプール機能を適用することによって出力を圧縮することができる。例えば、プール層220は、前の畳み込み層(例えば、第2の畳み込み層)からの出力のセットからの最大出力を選択するように適合された最大プール機能を適用することによって、第2の畳み込み層214からの出力をさらに処理するように構成することができる。
現在の主題のいくつかの実施形態では、プール層220からの出力は、完全に接続されたレイヤ230および出力レイヤ240によってさらに処理されて、逆アセンブルされたバイナリファイル250の分類を生成することができる(例えば、悪意のある、または良性のもの)。例えば、出力層240は、逆アセンブルされたバイナリファイル250の分類を悪意のあるまたは良性であると判断するために、起動機能を適用することができる。逆アセンブルされたバイナリファイル250の分類は、畳み込みニューラルネットワーク200の出力204において提供され得る。
現在の主題のいくつかの実施形態によれば、畳み込みニューラルネットワーク200は、畳み込みニューラルネットワーク200を利用して、複数のトレーニングファイルを処理し、対応する複数のトレーニング出力を生成することによってトレーニングすることができる。複数のトレーニングファイルは、例えば、逆アセンブルされたバイナリファイル250を含む逆アセンブルされたバイナリファイルであることができる。畳み込みニューラルネットワーク200をトレーニングすることは、各トレーニングファイルに関連付けられた正しい分類に関連したトレーニング出力のエラー(または損失)を最小にするために、1つまたは複数の監視学習(例えば、エラーの逆方向伝搬)および最適化技術(例えば、勾配降下)を適用することを含むことができる。
例えば、各トレーニングファイルについて、(例えば、正しい分類に関連する)対応するトレーニング出力に関連するエラー(または損失)を、畳み込みニューラルネットワーク200を介して逆伝搬させて、損失関数を生成することができる。勾配降下は、畳み込みニューラルネットワーク200に対する1つまたは複数の最適化を決定するために実行することができ、例えば、畳み込み層で適用される重み調整(例えば、第1の畳み込み層212に適用される重み行列W1、および第2の畳み込み層214に適用される重み行列W2)を含む。畳み込みニューラルネットワーク200は、トレーニングされた畳み込みニューラルネットワーク200を生成する際に複数回の最適化(例えば、重み調整)が実行されるように、複数のトレーニングファイルを処理することによってトレーニングすることができる。
図4は、いくつかの例示的な実施形態に係るニューラルネットワークシステム400を示すブロック図を示す。図2A〜図4を参照すると、畳み込みニューラルネットワークシステム400は、畳み込みニューラルネットワーク200を実施することができる。
いくつかの例示的な実施形態では、ニューラルネットワークシステム400は、デジタル電子回路、集積回路、特別に設計された特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)コンピュータハードウェア、ファームウェア、ソフトウェア、および/またはその組み合わせで実現することができる。図3に示すように、ニューラルネットワークシステム400は、入力モジュール412、畳み込みモジュール414、プールモジュール416、完全に接続されたモジュール418、および出力モジュール420を含むことができる。ニューラルネットワークシステム400は、例えば、デバイス440を含む1つまたは複数のデバイスとさらに通信可能に結合されてもよい。ニューラルネットワークシステム400は、有線および/または無線ネットワーク430(例えば、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、および/またはインターネット)を介してデバイス440と通信することができる。
入力モジュール412は、1つまたは複数の逆アセンブルされたバイナリファイル(例えば、逆アセンブルされたバイナリファイル250)の符号化固定長表現を(例えば、デバイス440から)受信するように構成することができる。あるいは、現在の主題のいくつかの実施形態では、入力モジュール412は、一連の可変長命令を含む逆アセンブルされたバイナリファイル250を(例えば、デバイス440から)受信するように構成することができる。入力モジュール412は、逆アセンブルされたバイナリファイル250から命令の符号化固定長表現を生成することができる。例えば、入力モジュール412は、各命令の固定長表現を生成するために命令をパディングおよび/または切り捨てるように構成することができる。さらに、入力モジュール412は、命令の固定長表現を符号化するために、高密度符号化方式(例えば、バイナリ符号化)またはスパース符号化方式(例えば、ワンホット符号化)を適用することができる。命令を逆アセンブルされたバイナリファイル250から符号化固定長表現に変換することにより、ニューラルネットワークシステム400による逆アセンブルされたバイナリファイル250のさらなる処理が可能になる。畳み込みニューラルネットワーク200がマルウェアを検出するようにトレーニングされている間、入力モジュール412は1つまたは複数のトレーニングファイルを受信することができることを理解されたい。代替的または追加的に、入力モジュール412は、未知の逆アセンブルされたバイナリファイルを受信し、(例えば、悪意のあるまたは良性の)未知の逆アセンブルされたバイナリファイルの分類を提供することができる。
畳み込みモジュール414は、逆アセンブルされたバイナリファイル250からの命令のシーケンスの符号化固定長表現を入力モジュール412から受信することができる。現在の主題のいくつかの実施形態では、畳み込みモジュール414は、カーネルK1,1,K1,2,...,K1,xを命令の符号化固定長表現に適用することによって、複数の特徴ベクトルを処理するように構成することができる。カーネルの適用は、特徴マップ(例えば、特徴マップ260)を生成することができる。現在の主題のいくつかの実施形態によれば、畳み込みモジュール414は、追加のカーネル(例えば、カーネルK2,1,K2,2,...,K2,y)をその特徴マップに適用することができる。カーネルの適用は、逆アセンブルされたバイナリファイル250からの命令のますます抽象的な表現を生成することができる。例えば、各カーネルK1,1,K1,2,...,K1,xは、2つ以上の命令の特定のシーケンス(例えば、特定の順序で現れる2つ以上の命令)を検出するために適用することができる。一方、各カーネルK2,1,K2,2,...,K2,yは、その後、2つ以上の命令シーケンスの特定のシーケンス(例えば、特定の順序で現れる2つ以上の命令シーケンス)を検出するために適用することができる。
一部の例示的な実施形態では、プールモジュール416は、畳み込みモジュール414からの出力を圧縮(例えば、サブサンプルまたはダウンサンプル)するように構成することができる。例えば、プールモジュール416は、その出力内の最大(例えば目立ったまたは顕著な)特徴(例えば、2つ以上の命令のシーケンス、2つ以上のシーケンスのシーケンスなど)を識別するために、最大プール機能を畳み込みモジュール414からの出力に適用することができる。プールモジュール416によって識別される最大特徴は、完全に接続されたモジュール418によってさらに処理することができる。一方、完全に接続されたモジュール418からの出力は、出力モジュール420によってさらに処理することができる。出力モジュール420は、ニューラルネットワークシステム400の出力を提供するように構成することができ、それは、逆アセンブルされたバイナリファイル150の分類を悪意のあるまたは良性として分類することができる。出力モジュール420は、出力をデバイス440に(例えば、ネットワーク430を介して)送信することによってニューラルネットワークシステム400の出力を提供するように構成することができる。
図5は、現在の主題のいくつかの実施形態と一致する畳み込みニューラルネットワークをトレーニングするためのプロセス500を示すフローチャートを示す。図2を参照する。図1〜図5を参照すると、畳み込みニューラルネットワーク200をトレーニングするために、ニューラルネットワークシステム400によってプロセス500を実行することができる。
ニューラルネットワークシステム400は、複数のトレーニングファイルを受信することができる(502)。例えば、ニューラルネットワークシステム400は、デバイス340および/または別のソースから1セットのトレーニングファイルを受信することができる。一部の例示的な実施形態では、トレーニングファイルは、例えば、逆アセンブルされたバイナリファイル250を含む、逆アセンブルされたバイナリファイルであり得る。したがって、各トレーニングファイルは、命令のシーケンスを含むことができる。
ニューラルネットワークシステム400は、複数のトレーニングファイルに基づいて、1つまたは複数の逆アセンブルされたバイナリファイルを分類するための畳み込みニューラルネットワーク200をトレーニングすることができる(504)。例えば、ニューラルネットワークシステム400は、畳み込みニューラルネットワーク200を利用してトレーニングファイルを処理することによって畳み込みニューラルネットワーク200をトレーニングすることができる。いくつかの例示的な実施形態では、畳み込みニューラルネットワーク200は、トレーニングファイルからの命令のますます抽象的な表現を生成するように適合させる複数のカーネル(例えば、カーネルK1,1,K1,2,...,K1,x、カーネルK2,1,K2,2,...,K2,y)を適用することによって、各トレーニングファイル内の命令の符号化固定長表現を処理するように適合することができる。例えば、いくつかのカーネル(例えば、カーネルK1,1,K1,2,...,K1,x)の適用は、特定の命令シーケンスを検出することができ、一方、他のカーネル(例えば、K2,1,K2,2,...,K2,y)のその後の適用は、特定の順序で現れる命令の特定のシーケンスが存在するインスタンスを検出できる。畳み込みニューラルネットワーク200は、符号化固定長表現を処理して、トレーニングファイルの分類を生成することができる。
各トレーニングファイルについて、トレーニングスクリプトの正しい分類に関連するトレーニングファイルの分類に関連するエラーは、畳み込みニューラルネットワーク200を介して逆伝搬されて、損失関数を生成することができる。勾配降下は、損失関数を最小化する畳み込みニューラルネットワーク200(例えば、第1の畳み込みレイヤ212に適用される重み行列Wおよび第2の畳み込みレイヤ214に適用される重み行列W)に対する1つまたは複数の最適化を決定するために実行することができる。現在の主題のいくつかの実施形態では、畳み込みニューラルネットワーク200をトレーニングすることは、畳み込みニューラルネットワーク200を使用して複数のトレーニングファイルを処理することを含むことができる。このように、ニューラルネットワークシステム400は、1つまたは複数の逆アセンブルされたバイナリファイルに対して正しい分類を提供することができるトレーニングされた畳み込みニューラルネットワーク200を生成するために、最適化(例えば、重みおよび/またはバイアス調整)の複数の反復を実行することができる。
ニューラルネットワークシステム400は、トレーニングされた畳み込みニューラルネットワーク200を提供して、少なくとも1つの逆アセンブルされたバイナリファイル(506)の分類を可能にすることができる。例えば、トレーニングされた畳み込みニューラルネットワーク200は、未知の逆アセンブルされたバイナリファイルを処理し、逆アセンブルされたバイナリファイルの分類を(例えば、悪意のあるまたは良性のものとして)提供するために展開することができる。現在の主題のいくつかの実施形態では、トレーニングされた畳み込みニューラルネットワーク200は、例えば、コンピュータソフトウェア、専用回路(例えば、ASIC)、および/またはクラウドプラットフォームを含む任意の方法で提供することができる。
図6は、現在の主題のいくつかの実施形態と一致して、トレーニングされた畳み込みニューラルネットワーク200を利用するためのプロセス600を示すフローチャートを示す。図1〜図6を参照すると、いくつかの例示的な実施形態では、トレーニングの後に畳み込みニューラルネットワーク200を利用するために、ニューラルネットワークシステム400によってプロセス600を実行することができる。
ニューラルネットワークシステム400は、逆アセンブルされたバイナリファイル250を受信することができる(602)。例えば、ニューラルネットワークシステム400は、デバイス440および/または別のソースから、逆アセンブルされたバイナリファイル250を受信することができる。いくつかの例示的な実施形態では、逆アセンブルされたバイナリファイル250は命令のシーケンスを含むことができる。
ニューラルネットワークシステム400は、トレーニングされた畳み込みニューラルネットワーク200を利用して、逆アセンブルされたバイナリファイル250の分類を決定することができる(604)。例えば、ニューラルネットワークシステム400は、畳み込みニューラルネットワーク200を利用して、逆アセンブルされたバイナリファイル250を処理することができる。現在の主題のいくつかの実施形態では、トレーニングされた畳み込みニューラルネットワーク200は、1つまたは複数のカーネル(例えば、カーネルK1,1,K1,2,...,K1,x、および/またはカーネルK2,1,K2,2,...,K2,y)を逆アセンブルされたバイナリファイル250内の命令の符号化固定長表現に適用することによって、逆アセンブルされたバイナリファイル250を処理するように適合することができる。トレーニングされた畳み込みニューラルネットワーク200は、逆アセンブルされたバイナリファイル250の分類におけるエラーを最小限にするように(例えば、トレーニング中に)最適化された1つまたは複数の重み(例えば、重み行列Wおよび/またはW)を適用するように構成することができる。
ニューラルネットワークシステム400は、逆アセンブルされたバイナリファイル250の分類を出力として提供することができる(606)。例えば、トレーニングされた畳み込みニューラルネットワーク200によって実行される処理の結果は、逆アセンブルされたバイナリファイル250の悪意のあるまたは良性のものとして分類とすることができる。いくつかの例示的な実施形態では、ニューラルネットワークシステム400は、(例えば、ネットワーク430を介して)デバイス440に出力を提供することができる。
本開示の実施形態には、上述した説明と一致する方法と、1つまたは複数のマシン(例えば、コンピュータなど)に1つまたは複数のマシンを実行させるように動作可能な具体的に表現された機械可読媒体を含む記述された特徴のうちの1つまたは複数を実施する動作をもたらす。同様に、1つまたは複数のプロセッサおよび1つまたは複数のプロセッサに結合された1つまたは複数のメモリを含むことができるコンピュータシステムもまた説明される。コンピュータ可読記憶媒体を含むことができるメモリは、1つまたは複数のプロセッサに本明細書に記載された1つまたは複数の動作を実行させる1つまたは複数のプログラムを含むことができ、符号化、格納などすることができる。現在の主題の1つまたは複数の実施形態と一致するコンピュータ実装の方法は、単一のコンピューティングシステムまたは複数のコンピューティングシステムに存在する1つまたは複数のデータプロセッサによって実施することができる。そのような複数のコンピューティングシステムは、ネットワーク(例えば、インターネット、無線ワイドエリアネットワーク、ローカルネットワーク、広域ネットワーク、有線ネットワークなど)、複数のコンピューティングシステムのうちの1つまたは複数の間の直接接続を介した接続を含むがこれに限定されない1つまたは複数の接続を介して接続され、データおよび/またはコマンドまたは他の命令などを交換することができる。
本明細書に記載される主題の1つまたは複数の態様または特徴は、デジタル電子回路、集積回路、特別に設計されたASIC、フィールドプログラマブルゲートアレイ(FPGA)コンピュータハードウェア、ファームウェア、ソフトウェア、および/またはそれらの組み合わせで実現され得る。これらの様々な態様または特徴は、少なくとも1つのプログラム可能なプロセッサを含むプログラム可能なシステム上で実行可能および/または解釈可能な1つまたは複数のコンピュータプログラムにおける実施形態を含むことができる。少なくとも1つのプログラム可能なプロセッサは、ストレージシステム、少なくとも1つの入力デバイス、および少なくとも1つの出力デバイスからデータおよび命令を受信し、データまたは命令を送信するために結合された特別なまたは汎用の目的であってもよい。プログム可能なシステムまたはコンピューティングシステムは、クライアントおよびサーバを含むことができる。クライアントとサーバは、一般に、互いに遠隔であり、典型的には、通信ネットワークを介して相互作用する。クライアントとサーバとの関係は、それぞれのコンピュータ上で実行され、互いにクライアント−サーバ関係を有するコンピュータプログラムのおかげで生じる。
これらのコンピュータプログラムは、プログラム、ソフトウェア、ソフトウェアアプリケーション、アプリケーション、コンポーネント、またはコードとも呼ばれ、プログラム可能なプロセッサ用の機械命令を含み、高水準手続き言語、オブジェクト指向プログラミング言語、関数型プログラミング言語、論理型プログラミング言語、および/またはアセンブリ言語/機械語で記述することができる。本明細書で使用される場合、“機械可読媒体”という用語は、機械命令および/または機械可読信号として機械命令を受信する機械可読媒体を含むプログラム可能なプロセッサへのデータを提供するために使用される任意のコンピュータプログラム製品、装置、および/またはデバイス、例えば、磁気ディスク、光ディスク、メモリ、およびプログラマブルロジックデバイス(PLD)を指す。“機械可読信号”という用語は、機械命令および/またはデータをプログラマブルプロセッサに提供するために使用される任意の信号を指す。機械可読媒体は、例えば、非過渡的なソリッドステートメモリ、磁気ハードドライブ、または任意の等価な記憶媒体のように、機械命令を非一時的に格納することができる。機械可読媒体は、例えば、プロセッサキャッシュまたは1つまたは複数の物理プロセッサコアに関連する他のランダムアクセスメモリのように、そのような機械命令を過渡的な方法で代替的または追加的に格納することができる。
ユーザとの対話を提供するために、本明細書に記載される主題の1つまたは複数の態様または特徴は、例えば陰極線管(CRT)または液晶ディスプレイ(LCD)のような表示装置またはユーザに情報を表示するための発光ダイオード(LED)モニタと、ユーザがコンピュータに入力を提供することができる、例えば、マウスまたはトラックボールのようなキーボードおよびポインティングデバイスとを有するコンピュータ上で実施することができる。他の種類の装置を使用して、ユーザとのやりとりを提供することもできる。例えば、ユーザに提供されるフィードバックは、例えば、視覚フィードバック、聴覚フィードバック、または触覚フィードバックなどの任意の形態の感覚フィードバックであり得る。ユーザからの入力は、音響、スピーチまたは触覚入力を含むが、これに限定されない任意の形態で受信することができる。他の可能な入力デバイスには、タッチスクリーンまたは単一またはマルチポイント抵抗または容量性トラックパッド、音声認識ハードウェアおよびソフトウェア、光学スキャナ、光学ポインタ、デジタルMRI画像キャプチャデバイスなどの他のタッチセンシティブデバイスおよび関連する解釈ソフトウェア等を含む。
上記および請求項の説明では、“少なくとも1つ”または“1つまたは複数”のような語句が続き、要素または機能の結合リストが続くことがある。“および/または”という用語は、2つ以上の要素または特徴のリスト内に存在してもよい。他の言及された要素または特徴のいずれかと個別にまたは列挙された要素または特徴のいずれかとの組み合わせを意味することを意図している。例えば、“AおよびBの少なくとも1つ”という語句は、“1つまたは複数のAおよびB””Aおよび/またはB“は、それぞれ”A単独、B単独、またはAおよびB一緒に“を意味することを意図している。同様の解釈は、3つ以上の項目を含むリストに対しても意図されている。例えば、”A、B、およびCの少なくとも1つ“という語句は、”A、B、およびCの1つまたは複数“”A、Bおよび/またはC“は、それぞれ”A単独、B単独、C単独、AおよびB一緒、AおよびC一緒、BおよびC一緒、またはAおよびBおよびC一緒“を意味するものとする。上記および請求項に”基づく“という用語の使用は、言及されていない特徴または要素も許容されるように、”少なくとも部分的に基づいて“を意味することを意図している。
本明細書に記載される主題は、所望の構成に応じて、システム、装置、方法、および/または物品に具体化することができる。前述の説明に記載された実施形態は、本明細書に記載された主題と一致する全ての実施形態を表すものではない。むしろ、それらは、記載された主題に関連する態様と一致する単なる例に過ぎない。いくつかの変形例を上記で詳細に説明したが、他の修正または追加が可能である。特に、本明細書に記載されたものに加えて、さらなる特徴および/または変形を提供することができる。例えば、上述の実施形態は、開示された特徴の様々な組み合わせおよびサブコンビネーション、および/または上述したいくつかのさらなる特徴の組み合わせおよびサブコンビネーションを対象とすることができる。さらに、添付の図面に示され、および/または本明細書で説明される論理フローは、望ましい結果を達成するために、示された特定の順序または連続的な順序を必ずしも必要としない。他の実施態様は、以下の請求項の範囲内であり得る。

Claims (24)

  1. 少なくとも1つのプロセッサと、少なくとも1つのプロセッサによって実行されると動作を提供するプログラムコードを含む少なくとも1つのメモリとを含むシステムであって、
    前記動作は、
    複数の命令を含む逆アセンブルされたバイナリファイルを受信し、
    命令のシーケンスを検出するように適合された第1の複数のカーネルを適用することによって、複数の命令のうちの1つまたは複数の命令のシーケンスの存在を検出し(i)、1つまたは複数の命令のシーケンスの存在に少なくとも部分的に基づいて、逆アセンブルされたバイナリファイルの分類を決定する(ii)ように構成されたトレーニングされた畳み込みニューラルネットワークを用いて、逆アセンブルされたバイナリファイルを処理し、
    逆アセンブルされたバイナリファイルの分類を、出力として提供し、逆アセンブルされたバイナリファイルに対応するバイナリファイルを実行、開く、またはアクセスするかどうかを決定することと含み、
    前記畳み込みネットワークは、命令の固定長表現を有する複数のトレーニングファイルを使用してトレーニングされ、命令の固定長表現は、そのような命令抽象的な表現を生成するように適合された複数のカーネルに適用され、カーネルのいくつかは、命令の特定のシーケンスを検出するようにされ、一方、他のカーネルのその後の適用は、特定の順序で現れる命令の特定のシーケンスが存在するインスタンスを検出するように構成される、システム。
  2. 前記複数の命令は、可変長である請求項1のシステム。
  3. 前記システムは、前記複数の命令のそれぞれを同じ長さに切り捨てるまたはパディングすることによって、前記複数の命令の固定長表現を生成するようにさらに構成される請求項1または2のシステム。
  4. 前記複数の命令の固定長表現は、各命令に関連付けられたニーモニックを含む請求項3のシステム。
  5. 前記システムは、前記複数の命令の固定長表現を符号化するようにさらに構成され、
    前記符号化は、ワンホット符号化またはバイナリ符号化に基づく請求項3または4のシステム。
  6. 前記第1の複数のカーネルを適用することは、第1の重み行列を前記逆アセンブルされたバイナリファイルの行列表現に適用することを含み、
    前記逆アセンブルされたバイナリファイルの行列表現は、逆アセンブルされたバイナリファイルに含まれる複数の命令の符号化固定長表現を含む請求項1のシステム。
  7. 前記システムは、前記畳み込みニューラルネットワークをトレーニングするようにさらに構成され、
    少なくとも
    複数のトレーニングファイルを受信し、
    前記畳み込みニューラルネットワークを用いて、第1のトレーニングファイルを少なくとも処理することによって、第1のトレーニングファイルの分類を決定し、
    第1のトレーニングファイルの分類に関連するエラーを逆伝搬し、
    少なくとも第1の重み行列を調整して、第1のトレーニングファイルの分類に関連するエラーを最小限にすることによって、トレーニングされ、
    前記複数のトレーニングファイルは、複数の逆アセンブルされたバイナリファイルを含む請求項1から6のうちいずれか1項のシステム。
  8. 前記畳み込みニューラルネットワークをトレーニングすることは、
    前記畳み込みニューラルネットワークを用いて、第2のトレーニングファイルを少なくとも処理することによって、第2のトレーニングファイルの分類を決定し、
    第2のトレーニングファイルの分類に関連するエラーを逆伝搬し、
    少なくとも第1の重み行列を再調整して、第2のトレーニングファイルの分類に関連するエラーを最小限にすることをさらに含む請求項7のシステム。
  9. コンピュータに実装された方法であって、
    前記方法は、
    複数の命令を含む逆アセンブルされたバイナリファイルを受信するステップと、
    命令のシーケンスを検出するように適合された第1の複数のカーネルを適用することによって、複数の命令のうちの1つまたは複数の命令のシーケンスの存在を検出し(i)、1つまたは複数の命令のシーケンスの存在に少なくとも部分的に基づいて、逆アセンブルされたバイナリファイルの分類を決定する(ii)ように構成されたトレーニングされた畳み込みニューラルネットワークを用いて、逆アセンブルされたバイナリファイルを処理するステップと、
    逆アセンブルされたバイナリファイルの分類を、出力として提供し、逆アセンブルされたバイナリファイルに対応するバイナリファイルを実行、開く、またはアクセスするかどうかを決定するステップとを含み、
    前記畳み込みネットワークは、命令の固定長表現を有する複数のトレーニングファイルを使用してトレーニングされ、命令の固定長表現は、そのような命令抽象的な表現を生成するように適合された複数のカーネルに適用され、カーネルのいくつかは、命令の特定のシーケンスを検出するようにされ、一方、他のカーネルのその後の適用は、特定の順序で現れる命令の特定のシーケンスが存在するインスタンスを検出するように構成される、方法。
  10. 前記複数の命令は、可変長である請求項9の方法。
  11. 前記方法は、前記複数の命令のそれぞれを同じ長さに切り捨てるまたはパディングすることによって、前記複数の命令の固定長表現を生成するステップをさらに含む請求項9または10の方法。
  12. 前記複数の命令の固定長表現は、各命令に関連付けられたニーモニックを含む請求項11の方法。
  13. 前記方法は、前記複数の命令の固定長表現を符号化するステップをさらに含み、
    前記符号化は、ワンホット符号化またはバイナリ符号化に基づく請求項11または12の方法。
  14. 前記第1の複数のカーネルを適用することは、第1の重み行列を前記逆アセンブルされたバイナリファイルの行列表現に適用することを含み、
    前記逆アセンブルされたバイナリファイルの行列表現は、逆アセンブルされたバイナリファイルに含まれる複数の命令の符号化固定長表現を含む請求項9の方法。
  15. 前記方法は、前記畳み込みニューラルネットワークをトレーニングするステップをさらに含み、
    少なくとも
    複数のトレーニングファイルを受信するステップと、
    前記畳み込みニューラルネットワークを用いて、第1のトレーニングファイルを少なくとも処理することによって、第1のトレーニングファイルの分類を決定するステップと、
    第1のトレーニングファイルの分類に関連するエラーを逆伝搬するステップと、
    少なくとも第1の重み行列を調整して、第1のトレーニングファイルの分類に関連するエラーを最小限にするステップとによって、トレーニングされ、
    前記複数のトレーニングファイルは、複数の逆アセンブルされたバイナリファイルを含む請求項9から14のうちいずれか1項の方法。
  16. 前記畳み込みニューラルネットワークをトレーニングするステップは、
    前記畳み込みニューラルネットワークを用いて、第2のトレーニングファイルを少なくとも処理することによって、第2のトレーニングファイルの分類を決定するステップと、
    第2のトレーニングファイルの分類に関連するエラーを逆伝搬するステップと、
    少なくとも第1の重み行列を再調整して、第2のトレーニングファイルの分類に関連するエラーを最小限にするステップとをさらに含む請求項15の方法。
  17. 動作を実行するようにプロセッサを構成する命令を含む非一時的なコンピュータ可読媒体であって、
    前記動作は、
    複数の命令を含む逆アセンブルされたバイナリファイルを受信するステップと、
    命令のシーケンスを検出するように適合された第1の複数のカーネルを適用することによって、複数の命令のうちの1つまたは複数の命令のシーケンスの存在を検出し(i)、1つまたは複数の命令のシーケンスの存在に少なくとも部分的に基づいて、逆アセンブルされたバイナリファイルの分類を決定する(ii)ように構成されたトレーニングされた畳み込みニューラルネットワークを用いて、逆アセンブルされたバイナリファイルを処理するステップと、
    逆アセンブルされたバイナリファイルの分類を、出力として提供し、逆アセンブルされたバイナリファイルに対応するバイナリファイルを実行、開く、またはアクセスするかどうかを決定するステップとを含み、
    前記畳み込みネットワークは、命令の固定長表現を有する複数のトレーニングファイルを使用してトレーニングされ、命令の固定長表現は、そのような命令抽象的な表現を生成するように適合された複数のカーネルに適用され、カーネルのいくつかは、命令の特定のシーケンスを検出するようにされ、一方、他のカーネルのその後の適用は、特定の順序で現れる命令の特定のシーケンスが存在するインスタンスを検出するように構成される、非一時的なコンピュータ可読媒体。
  18. 前記複数の命令は、可変長である請求項17の非一時的なコンピュータ可読媒体。
  19. 前記非一時的なコンピュータ可読媒体は、前記複数の命令のそれぞれを同じ長さに切り捨てるまたはパディングすることによって、前記複数の命令の固定長表現を生成するステップをさらに含む請求項17または18の非一時的なコンピュータ可読媒体。
  20. 前記複数の命令の固定長表現は、各命令に関連付けられたニーモニックを含む請求項19の非一時的なコンピュータ可読媒体。
  21. 前記非一時的なコンピュータ可読媒体は、前記複数の命令の固定長表現を符号化するステップをさらに含み、
    前記符号化は、ワンホット符号化またはバイナリ符号化に基づく請求項19または20の非一時的なコンピュータ可読媒体。
  22. 前記第1の複数のカーネルを適用するステップは、第1の重み行列を前記逆アセンブルされたバイナリファイルの行列表現に適用することを含み、
    前記逆アセンブルされたバイナリファイルの行列表現は、逆アセンブルされたバイナリファイルに含まれる複数の命令の符号化固定長表現を含む請求項17の非一時的なコンピュータ可読媒体。
  23. 前記非一時的なコンピュータ可読媒体は、前記畳み込みニューラルネットワークをトレーニングするステップをさらに含み、
    少なくとも
    複数のトレーニングファイルを受信するステップと、
    前記畳み込みニューラルネットワークを用いて、第1のトレーニングファイルを少なくとも処理することによって、第1のトレーニングファイルの分類を決定するステップと、
    第1のトレーニングファイルの分類に関連するエラーを逆伝搬するステップと、
    少なくとも第1の重み行列を調整して、第1のトレーニングファイルの分類に関連するエラーを最小限にするステップとによって、トレーニングされ、
    前記複数のトレーニングファイルは、複数の逆アセンブルされたバイナリファイルを含む請求項17から22のうちいずれか1項の非一時的なコンピュータ可読媒体。
  24. 前記畳み込みニューラルネットワークをトレーニングするステップは、
    前記畳み込みニューラルネットワークを用いて、第2のトレーニングファイルを少なくとも処理することによって、第2のトレーニングファイルの分類を決定するステップと、
    第2のトレーニングファイルの分類に関連するエラーを逆伝搬するステップと、
    少なくとも第1の重み行列を再調整して、第2のトレーニングファイルの分類に関連するエラーを最小限にするステップとをさらに含む請求項23の非一時的なコンピュータ可読媒体。
JP2018501314A 2015-07-15 2016-07-14 マルウェア検出 Active JP6952679B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021157818A JP7246448B2 (ja) 2015-07-15 2021-09-28 マルウェア検出

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562193025P 2015-07-15 2015-07-15
US62/193,025 2015-07-15
PCT/US2016/042358 WO2017011702A1 (en) 2015-07-15 2016-07-14 Malware detection

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021157818A Division JP7246448B2 (ja) 2015-07-15 2021-09-28 マルウェア検出

Publications (2)

Publication Number Publication Date
JP2018524735A JP2018524735A (ja) 2018-08-30
JP6952679B2 true JP6952679B2 (ja) 2021-10-20

Family

ID=56550400

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018501314A Active JP6952679B2 (ja) 2015-07-15 2016-07-14 マルウェア検出
JP2021157818A Active JP7246448B2 (ja) 2015-07-15 2021-09-28 マルウェア検出

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021157818A Active JP7246448B2 (ja) 2015-07-15 2021-09-28 マルウェア検出

Country Status (4)

Country Link
US (3) US10157279B2 (ja)
EP (1) EP3323075B1 (ja)
JP (2) JP6952679B2 (ja)
WO (1) WO2017011702A1 (ja)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160026912A1 (en) * 2014-07-22 2016-01-28 Intel Corporation Weight-shifting mechanism for convolutional neural networks
US9690938B1 (en) 2015-08-05 2017-06-27 Invincea, Inc. Methods and apparatus for machine learning based malware detection
US9916522B2 (en) * 2016-03-11 2018-03-13 Kabushiki Kaisha Toshiba Training constrained deconvolutional networks for road scene semantic segmentation
AU2017281232B2 (en) 2016-06-22 2020-02-13 Invincea, Inc. Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning
GB2555192B (en) 2016-08-02 2021-11-24 Invincea Inc Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space
US10637874B2 (en) * 2016-09-01 2020-04-28 Cylance Inc. Container file analysis using machine learning model
US10503901B2 (en) 2016-09-01 2019-12-10 Cylance Inc. Training a machine learning model for container file analysis
US10652252B2 (en) * 2016-09-30 2020-05-12 Cylance Inc. Machine learning classification using Markov modeling
CN107742150B (zh) 2016-10-31 2020-05-12 腾讯科技(深圳)有限公司 一种卷积神经网络的数据处理方法和装置
US11620471B2 (en) * 2016-11-30 2023-04-04 Cylance Inc. Clustering analysis for deduplication of training set samples for machine learning based computer threat analysis
US9942264B1 (en) * 2016-12-16 2018-04-10 Symantec Corporation Systems and methods for improving forest-based malware detection within an organization
US10832168B2 (en) * 2017-01-10 2020-11-10 Crowdstrike, Inc. Computational modeling and classification of data streams
CN107103235A (zh) * 2017-02-27 2017-08-29 广东工业大学 一种基于卷积神经网络的Android恶意软件检测方法
JP6993792B2 (ja) * 2017-05-09 2022-02-03 株式会社日立製作所 Webアクセス制御装置
KR101863615B1 (ko) * 2017-05-24 2018-06-01 (주)이스트소프트 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
RU2654146C1 (ru) * 2017-06-16 2018-05-16 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных файлов с использованием элементов статического анализа
KR101960869B1 (ko) * 2017-06-30 2019-03-21 주식회사 씨티아이랩 인공지능 기반 악성코드 검출 시스템 및 방법
US10607119B2 (en) 2017-09-06 2020-03-31 Kla-Tencor Corp. Unified neural network for defect detection and classification
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
KR102033354B1 (ko) * 2017-11-01 2019-10-17 국민대학교산학협력단 Cnn 학습 기반의 멀웨어 분석 장치, 이를 수행하는 cnn 학습 기반의 멀웨어 분석 방법 및 이를 저장하는 기록매체
CN112005532B (zh) * 2017-11-08 2023-04-04 爱维士软件有限责任公司 用于对可执行文件进行分类的方法、系统和存储介质
CN107798243A (zh) * 2017-11-25 2018-03-13 国网河南省电力公司电力科学研究院 终端应用的检测方法和装置
US20190042743A1 (en) * 2017-12-15 2019-02-07 Intel Corporation Malware detection and classification using artificial neural network
RU2697955C2 (ru) 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обучения модели обнаружения вредоносных контейнеров
EP3522080B1 (en) * 2018-02-06 2020-09-09 AO Kaspersky Lab System and method of training a machine learning model for detection of malicious containers
EP3762848B1 (en) * 2018-04-10 2023-03-29 Huawei Technologies Co., Ltd. Device and method for classifying program behaviour
US11132444B2 (en) 2018-04-16 2021-09-28 International Business Machines Corporation Using gradients to detect backdoors in neural networks
CN110532771A (zh) * 2018-05-23 2019-12-03 深信服科技股份有限公司 恶意文件检测方法、装置、设备及计算机可读存储介质
US11620528B2 (en) * 2018-06-12 2023-04-04 Ciena Corporation Pattern detection in time-series data
RU2706896C1 (ru) * 2018-06-29 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле
CN109033979B (zh) * 2018-06-29 2021-07-16 西北工业大学 基于wifi和摄像机传感器决策级融合的室内行人检测方法
CN109002715B (zh) * 2018-07-05 2020-09-15 东北大学秦皇岛分校 一种基于卷积神经网络的恶意软件识别方法及系统
US11222114B2 (en) * 2018-08-01 2022-01-11 International Business Machines Corporation Time and frequency domain analysis of bytecode for malware detection
CN109711160B (zh) * 2018-11-30 2023-10-31 北京奇虎科技有限公司 应用程序检测方法、装置及神经网络系统
WO2020148811A1 (ja) * 2019-01-15 2020-07-23 玲 大塚 識別装置、識別プログラム及び学習装置
CN111610975A (zh) * 2019-02-26 2020-09-01 深信服科技股份有限公司 一种可执行文件类别确定方法、装置、设备及存储介质
US11983618B2 (en) 2019-04-12 2024-05-14 Ohio State Innovation Foundation Computing system and method for determining mimicked generalization through topologic analysis for advanced machine learning
CN110245494B (zh) * 2019-06-18 2024-05-24 平安科技(深圳)有限公司 恶意软件的检测方法、电子装置及计算机可读存储介质
CN112215329B (zh) * 2019-07-09 2023-09-29 杭州海康威视数字技术股份有限公司 基于神经网络的卷积计算方法及装置
CN110647745A (zh) * 2019-07-24 2020-01-03 浙江工业大学 基于深度学习的恶意软件汇编格式的检测方法
CN110458239A (zh) * 2019-08-15 2019-11-15 东北大学秦皇岛分校 基于双通道卷积神经网络的恶意软件分类方法及系统
CN111399852B (zh) * 2020-03-11 2022-08-16 电子科技大学 一种基于dsp处理器特点的指令集静态反汇编方法
CN111447190A (zh) * 2020-03-20 2020-07-24 北京观成科技有限公司 一种加密恶意流量的识别方法、设备及装置
KR102650732B1 (ko) * 2020-08-06 2024-03-26 한국전자통신연구원 컴퓨터 네트워크의 공격 취약점 예측 방법 및 장치
US11785024B2 (en) * 2021-03-22 2023-10-10 University Of South Florida Deploying neural-trojan-resistant convolutional neural networks
CN113378171B (zh) * 2021-07-12 2022-06-21 东北大学秦皇岛分校 一种基于卷积神经网络的Android勒索软件检测方法
US20230252158A1 (en) * 2022-02-07 2023-08-10 Bank Of America Corporation System and method for dynamically updating existing threat models based on newly identified active threats
KR102396237B1 (ko) * 2022-02-09 2022-05-10 주식회사 샌즈랩 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181768B1 (en) * 1999-10-28 2007-02-20 Cigital Computer intrusion detection system and method based on application monitoring
US7747070B2 (en) * 2005-08-31 2010-06-29 Microsoft Corporation Training convolutional neural networks on graphics processing units
JP5171118B2 (ja) * 2007-06-13 2013-03-27 キヤノン株式会社 演算処理装置及びその制御方法
CN101267313B (zh) * 2008-04-23 2010-10-27 成都市华为赛门铁克科技有限公司 泛洪攻击检测方法及检测装置
JP5301411B2 (ja) 2009-10-16 2013-09-25 日本電信電話株式会社 類似性算出装置、類似性算出方法、類似性算出プログラム、及び類似性解析装置
EP2638701B1 (en) * 2010-11-11 2020-09-09 Google LLC Vector transformation for indexing, similarity search and classification
US8826439B1 (en) * 2011-01-26 2014-09-02 Symantec Corporation Encoding machine code instructions for static feature based malware clustering
US9167296B2 (en) 2012-02-28 2015-10-20 Qualcomm Incorporated Customized playback at sink device in wireless display system
CN103679185B (zh) 2012-08-31 2017-06-16 富士通株式会社 卷积神经网络分类器系统、其训练方法、分类方法和用途
US9679243B2 (en) * 2013-03-14 2017-06-13 Apcera, Inc. System and method for detecting platform anomalies through neural networks
EP2833594A1 (en) * 2013-07-31 2015-02-04 Siemens Aktiengesellschaft Feature based three stage neural networks intrusion detection method and system
JP6236296B2 (ja) 2013-11-14 2017-11-22 株式会社デンソーアイティーラボラトリ 学習装置、学習プログラム、及び学習方法
JP5777178B2 (ja) * 2013-11-27 2015-09-09 国立研究開発法人情報通信研究機構 統計的音響モデルの適応方法、統計的音響モデルの適応に適した音響モデルの学習方法、ディープ・ニューラル・ネットワークを構築するためのパラメータを記憶した記憶媒体、及び統計的音響モデルの適応を行なうためのコンピュータプログラム
CN104751053A (zh) 2013-12-30 2015-07-01 南京理工大学常熟研究院有限公司 移动智能终端软件的静态行为分析方法
US9324022B2 (en) * 2014-03-04 2016-04-26 Signal/Sense, Inc. Classifying data with deep learning neural records incrementally refined through expert input
US9627532B2 (en) * 2014-06-18 2017-04-18 Nuance Communications, Inc. Methods and apparatus for training an artificial neural network for use in speech recognition
US10599844B2 (en) * 2015-05-12 2020-03-24 Webroot, Inc. Automatic threat detection of executable files based on static data analysis

Also Published As

Publication number Publication date
US11928213B2 (en) 2024-03-12
JP2022008591A (ja) 2022-01-13
JP7246448B2 (ja) 2023-03-27
US10635814B2 (en) 2020-04-28
US20170017793A1 (en) 2017-01-19
WO2017011702A1 (en) 2017-01-19
US10157279B2 (en) 2018-12-18
JP2018524735A (ja) 2018-08-30
EP3323075A1 (en) 2018-05-23
EP3323075B1 (en) 2023-01-18
US20190156033A1 (en) 2019-05-23
US20200218807A1 (en) 2020-07-09

Similar Documents

Publication Publication Date Title
JP6952679B2 (ja) マルウェア検出
EP3534283B1 (en) Classification of source data by neural network processing
EP3534284B1 (en) Classification of source data by neural network processing
US10915631B2 (en) Deep learning on execution trace data for exploit detection
US11283818B2 (en) Container file analysis using machine learning model
US11188646B2 (en) Training a machine learning model for container file analysis
US10581888B1 (en) Classifying software scripts utilizing deep learning networks
EP3284029B1 (en) Recurrent neural networks for malware analysis
WO2018017953A1 (en) Neural attention mechanisms for malware analysis
US11568049B2 (en) Methods and apparatus to defend against adversarial machine learning
US11954202B2 (en) Deep learning based detection of malicious shell scripts
WO2022100489A1 (en) System, method and apparatus for malicious software detection
WO2018045165A1 (en) Container file analysis using machine learning models
Anandhi et al. Malware visualization and detection using DenseNets
KR20200133644A (ko) 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
US20210049413A1 (en) Pattern similarity measures to quantify uncertainty in malware classification
Kim et al. Attention-Based Cross-Modal CNN Using Non-Disassembled Files for Malware Classification
KR102202448B1 (ko) 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체
KR20230062204A (ko) 악성 코드 탐지 방법 및 그 장치
Santoso et al. Malware Detection using Hybrid Autoencoder Approach for Better Security in Educational Institutions
US20240220617A1 (en) Deep learning based detection of malicious shell scripts
Khan et al. Compiler-provenance identification in obfuscated binaries using vision transformers

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190712

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200908

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210330

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210928

R150 Certificate of patent or registration of utility model

Ref document number: 6952679

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150